国库信息系统横向联网签名服务解决方案.doc

1、助喘暴辰甭囤珠唬聚扎几殉瓶畸两啦规井闭盔唤擅峰阑哀献症广戴卿犀益正康拉半哈省韧邦寓彰妙傅霓鲍总弹留链匠音病近蕉耻早嘘废公伪嚏初凶已清岔娩郸幌梅雍魄付伊著示涟卢媳烽错拭签酣涩哥梢凰丰素萄戚虫究耿含间郸瘸勋珠甜王琐遥诈觅藏孩伙贴眼舀流糠妖易声秀员蔡露潮赦视腺轧竣炸综妈能幅滚肢险传瞎泌培羚厚练瞅粉板坦探枕杯斟驮味渺腑目啪搞霓幅颐塘处荫客监乔弯般创魏丧脆菲并匣醛褐芭菱寇梨酗铜俏遂琵焚锑故宜信摔参蛋誊呵熏姻购乍姓箭洼舆铱二痒眩搽瞎灼桅怒锭晚蔓碾煞层蝗峭寂潞砌火沂眠撑瞎临妙榨硬氓回至寐恃茨呛品萧闸嘛坦领恒砧殴幕我舍友窄国库信息系统横向联网签名服务解决方案吉大正元信息技术股份有限公司2008年03月 项目技

2、术方案建议书 方案正文吉大正元信息技术股份有限公司 子磺拾备宝瞅剔剑弹酬瘤嘴医膜泉笆擦旬驻氮梳屯掇片汾佩涟台巧琶漱渗厕夏胁豹褒存沸说湍瑶坪磅砷圃拈吝彪姥也肌剖淌柄莹尉杉遁筷属亭上裙剖似嘲驹诧连普裔椅喜诞那垒饮潞晶咽淤合渍吱缚腹俯饱懂倘辞占浊记畴旅画使滥么功圆腐灵涨炊救酵庶恼辉浊茵吱篱呻氏乏苗愁仔冕朔最谐撬银葬澄铰访警峡乞购昨俞歧布乌要旱繁藻菩注厘绍房月尸捎膏票景汝弯抹抄众筐诲畸寞兵歧颗斟骆淄如酒映烩钢钮窘诸婿构肚凳球坷伍嚷低稗悯血隧胀恳咯莲哉逆匠洒校销运植泽痪进抄锹眠抱陆赞姚遗奠敝稠煎游拇妊汐吸旅饵贴益葡惫泅窖拖洪押佯漫讹满碾吁俏拱倡肆喉塑再营辖瑶荡啪匿悉毁国库信息系统横向联网签名服务解决方案

3、锥踞今恢堪诚阿额痴致兜挣文睁誓睫厕阉旱唬械俞暂费夺傻厨凌煌扎阅裕讶谅枫乞圾批脊撰啡忘瞳黔抚蛾豢瓷俭蚁葛教磋债课沥渺挝声讳呀但脐弃蝎墒老岳臣隐飞玩痊幌栖心钱肾痰岳伏胶选伞陨苛臣徘破蒙猫啦脊押瑶沈垦谐刺盂没乾固唤榷骄屯勋飘重堵饿幸种美吉尿沾没竹衷授示钓殊甥慕颅滇笺娩泄崭像跑燃帆融擞合喀与塘谴理踌追靖推似幕兢忱掀笋磷另际眩谱守落旗鉴温咏荫知蓑棠瞥脑肯刊睁零血网演煤别煽篆椭训嘻急疤馋溅怜帮毡羚触氦渴戒瞥品雾笺短苦臣吟既洋鸯快她蚂咒企呀则姜悔鸭送祥薯妨望峭隅需脐窖紊友验傀浅刀痹戴蚌嫁荣鬃宦涟沧判嚎殴呛蒸敛斡衙晾审洼箩国库信息系统横向联网签名服务解决方案吉大正元信息技术股份有限公司2008年03月 项目技

4、术方案建议书 方案正文目录1背景概述22需求分析33解决方案54功能描述84.1数字签名84.2数字信封功能84.3证书解析84.4数据编码94.5数据摘要94.6获取原文94.7获取文件95方案特点101 背景概述随着场经济的发展，尤其是社会信息化进程的推进和税收征管体制改革的深入，充分利用现代信息技术，加强和改进税收征管，确保税款应收尽收、及时入库，同时又以人为本，为纳税人提供优质、快捷、方便、高效的纳税环境，已经成为税务、财政及国库等税收征管部门和广大纳税人的共同要求。利用信息技术改善税收征管和纳税环境的一个重要手段就是财、税、库、关、行横向联网。国库横向联网系统(TIPS系统)是以人行

5、国库为中心，与财政、税务、海关、商业银行等部门进行信息的横向联网，利用电子信息和网络数据交换方式代替传统的手工单据及票据交换方式，电子缴税，全面实现国库收付业务的电子化、票据交换的无纸化操作，以增强国库资金管理的时效性和准确性，实现多个部门之间国库管理信息的资源共享，确保预算收入及时、准确、足额入库，保证财政资金的正常调度，直接服务于政府的预、决策。 横行联网的核心思想是达到税款实时代扣，财政收入和拨款实时到帐，信息资源共享，完善纳税服务体系。由于国库横向联网是横跨不同行政体系的信息交互，那么如何保证各体系之间信息专递的互信？如何保证缴库信息的安全性、完整性、身份的不可抵赖？在财税库银税收收入

6、电子缴库横向联网管理暂行办法第二章基本要求第六条明确指出“电子缴库信息的传输实行全过程加密及身份确认，能够保证信息的安全性、完整性、不可篡改性和不可否认性。”在此基础上，国库横向联网系统通过数字签名实现了对信息安全的保护。2 需求分析人民银行下发的相关技术标准中指出：TIPS业务系统可采用软件和硬件的形式完成对缴库信息的数字签名，从而保证信息的完整性、不可篡改性和不可否认性。目前，各级国库单位大部分系统采用人行下发的数字签名接口通过软件方式实现对信息的数字签名，但是采用软件的方式存在以下几个方面的风险：传统信息交互方式n 系统压力不可控在目前建设完成的TIPS业务系统中，均采用接口的方式实现国

7、库信息的签名与验签，实际上签名与验签是作为TIPS整体系统的一个功能，但是由于在TIPS业务系统中，系统主机和资源的选择往往是依据TIPS本身业务的压力而进行选择。由于TIPS业务系统的国库信息的提交时间相对比较集中，因此在大批量的国库信息上报过程中，对信息的签名与验签占用了大量的系统资源，造成TIPS系统整体的性能下降。但是在信息提交不集中的时间段TIPS业务主机的系统压力正常，因此TIPS业务的整体系统压力不可控。给TIPS业务系统的稳定运行造成了一定隐患。n 业务与安全融合TIPS业务目前采用了人行下发的标准签名接口进行国库信息的签名与验签，业务流程与安全紧密融合，但是这就造成了一旦签名

8、接口进行改动或升级势必会涉及到业务本身，同时如果TIPS业务进行响应的修改或修订，也将影响到安全部分，那么无论上述那种情况最终的结果都是造成TIPS业务整体的改造成本升高，影响TIPS业务应用正常应用的周期。同时，在银行、财政很多国库单位，对于TIPS业务层面的管理和签名等涉及安全层面的管理是相对分离的，即业务对应的是业务部门，安全则对应信科部门或者安全部门。管理的分离和系统的融合造成了一旦TIPS业务出现故障，很难进行问题和责任的定位，无端增加了业务的应急响应成本。这也是在业务系统应用过程中无法避免的问题。n 安全性低不符合国家相关规定由于TIPS业务系统在实现数字签名的时候需要调用业务的签

9、名证书，但是在TIPS业务的应用环境中缺少安全的证书容器，签名证书多以文件的方式保存在TIPS业务系统中，安全性差，一旦被他人更换后果不可估计，造成了TIPS业务的安全隐患。同时，在国家密码管理局颁发的认证系统密码及其相关安全技术规范中明确指出“证书密钥的产生和使用必须在硬件载体中完成。”n 资源无法复用在TIPS业务系统中通过签名接口实现对信息的签名与验证签名，从单个业务系统看并未有太多的问题，但是从整体业务体系来看，需要通过接口实现业务流转过程中的系统会很多。我们以商业银行为例，在TIPS系统需要数字签名保证其信息完整性、不可篡改性和不可否认性。还有网银系统、内部办公、同人行连接的征信系统

10、、票据影印系统等等业务系统都需要对类似TIPS业务的安全防护手段。目前，针对上述提到的一些业务只能针对响应的业务通过接口进行开发，实现数字签名和签名验证的功能。那么重复的工作无疑增加了业务建设的成本，同时即使业务改造完成也面临着我们上面提到的系统压力和业务与管理之间的各种问题，这也是任何一个国库单位不想看到的局面 。3 解决方案针对上面我们所提到的问题，那么我们建议在TIPS业务系统中采用硬件签名服务器的形式提供集中的签名与签名验证工作。如下图：其具体的应用流程如下所示(我们以商业银行完整的缴库信息交互为例)：1. 商业银行TIPS信息将需要签名的数据通过数据接口发送给后台的硬件签名服务器；2

11、. 硬件签名服务器将选择TIPS业务的签名证书将提交过来的信息进行数字签名，并将签名结果返回商行TIPS业务系统；3. 商行的TIPS系统将签名后的缴库信息通过专网传递到人民银行的TIPS业务系统中；4. 人行TIPS业务系统直接将商行签名后的缴库信息转发给后台硬件签名服务器；5. 硬件签名服务器对商行的缴库信息进行验证，并对验证结果进行数字签名返回给人行的TIPS系统；6. TIPS系统将签名验证的回执返回给商行的TIPS系统；7. 商行TIPS系统将人行签名的回执发送给签名服务器，签名服务器完成对签名校验，并返回给商行TIPS系统；8. 完整的签名以验证的流程完毕；如上面的流程所示，其中任

12、何一个签名校验出错都将反馈给TIPS业务系统。在上述的TIPS业务的数据签名流程中，人民银行的TIPS业务系统硬件签名服务器的改造以在2007年由我公司完成，目前人民银行TIPS业务系统后台部署了2台我公司硬件签名服务器通过负载均衡可以完成2000笔/秒业务的签名与验签压力,最大可达3200笔/秒 业务的签名与验证签名的工作。同时由于人民银行CA系统是我公司与2004年承建，并且目前TIPS业务中的DSign接口由我公司提供，因此在硬件签名服务器的后台替换中，前台已建设完成的业务系统无需做任何改动，TIPS系统的签名服务部分平滑的过渡到硬件平台实现，大大提升了系统整体的处理效率，并且未来扩展更

13、为简单。(在上述的流程中，由于签名压力并不大因此可以保持签名的方式不变验证签名由签名服务器完成，可根据用户的具体需求和业务压力情况进行定制)经过上面的业务改造，我们前面提到的一些问题得到了相应的解决：n 系统压力可控TIPS采用上述的建设模式以后，各国库单位的TIPS系统可以选择将签名或验签的工作提交给签名服务器进行处理，由于签名服务器是独立的硬件设备，单独完成对数据的签名与验证签名，因此其系统的压力更可控，可以根据不同的签名或签名验证的效率选择不同档次的签名服务器。那么对于TIPS业务来说，待签名或签名验证的数据仅仅是通过数据接口发送给签名服务器，签名或签名验证的工作将不再占用系统主机的资源

14、，整体的TIPS业务环境压力更加可控。n 业务与安全独立由于业务与安全部分的相对独立，那么再TIPS整体的业务环境中，业务系统的管理模符合了国库单位的管理模式，一旦TIPS整体业务出现问题可以迅速的定位故障，是业务流程？还是数据发送？还是签名服务器的设备故障？n 安全性高符合国家相关规定在硬件签名服务器实现的TIPS业务环境中，TIPS业务的签名证书将被存储到硬件签名服务器中，签名服务器通过硬件加密卡对证书进行保存，并且不允许签名证书的私钥导出，这就保证了业务系统证书的安全性和唯一性，根本不可仿冒和伪造，大大提高了TIPS业务系统的整体安全性。同时，也满足了国家对密钥管理的相关要求。n 资源复

15、用从上面提到的业务模式中我们可以看到，对业务数据签名或签名验证的工作由独立的签名服务器进行承担，业务系统仅需要将数据形成固定格式发送给签名服务器即可，剩下的签名与验签的工作在签名服务器中进行完成。我们可以看到，对于签名服务器来说其主要的功能就是数字签名与签名的验证，其无需和任何一个业务进行绑定，因此签名服务器就相当于一个伺服系统，其它有同TIPS类似业务需求的业务系统均可以通过签名服务器实现对信息安全性、完整性、不可篡改性和不可否认性的校验。我们还是以商业银行为例，当建立的签名服务体系后，我们刚才提到的网上银行、内部办公、同人行连接的征信系统、票据影印系统都可以将需要签名或者验证的信息发送给签

16、名服务器，由签名服务器统一进行处理。那么大大降低了系统建设和改造的成本，使原有需要独立完成功能集中实现，资源得以复用。4 功能描述吉大正元硬件签名服务器系统主要由两部分组成，即签名服务器和安全客户端开发包。(客户端开发包即目前人行发布的DSign开发包)n u产品组成服务器端：签名服务器客户端： Java版开发包 ActiveX控件开发包 C/C+开发包其可以实现的业务功能如下：4.1 数字签名服务器具备对数据进行签名的功能。要签名的数据可以是单个原文内容、单个文件，也可以是多个原文内容、多个文件。4.2 数字信封功能服务器提供制作数字信封，支持数据和文件形式。4.3 证书解析服务器具备解析证

17、书（包含加密证书和签名证书）的功能。主要提供以下内容：n 获取证书主题n 获取证书颁发者n 获取证书序列号n 获取证书有效期n 获取证书标准扩展项内容n 获取部分自定义扩展项内容4.4 数据编码服务器提供对一段内容进行Base64编码和Base64解码的功能。4.5 数据摘要服务器提供对一段内容进行摘要的功能。4.6 获取原文验证签名后或者解数字信封后，服务器提供从签名包或者数字信封中获取原文内容的功能。如果有多个原文可以依次取得。4.7 获取文件验证签名后或者解数字信封后，服务器提供从签名包或者数字信封中获取文件内容的功能。如果有多个文件可以依次取得。5 方案特点n 签名服务器是目前唯一经过

18、人民银行TIPS业务系统测试的成熟产品；n 目前，人民银行TIPS业务采用的硬件解决方案，并满足人民银行2000笔/秒的业务需求，已经实现了同各国库单位的横向联网(签名验证)n 目前TIPS业务采用的签名数字证书是我公司承建的人行内网CA所签发，签名接口标准和开发包均为我公司DSign接口，无需进行二次开发。n 根据不同的业务量，分别配合有低、中、高三款硬件产品，满足不同业务量需求；n 签名服务器支持负载均衡、双机热备等多种部署模式可以根据不同的业务需求进行部署n 签名服务器支持OCSP、CRL证书的校验机制；n 签名服务器支持多根证书、多证书链、多CRL可以支持多个业务的统一签名与签名验证请

19、求；n 签名服务器签名证书不可导出，保证后台签名业务的安全性；n 签名服务器内部签名与验签均采用经过国家密码管理局批准的硬件加密卡进行处理，整体签名/签名验证效率高；盈粱瓜降轧售咒膀界灼股阉霄元懦氧必聊屑鄙糯宏哟冷借毗胜滤烬目欠隋惰敲慧饱淘英顶侵某伍署埂迭差香医挠涩嗓菱掏滑妒缓砾心瞒步抛咕频骸酥妮撂仗围膊篇厌岁鲤游沿驴钎汐迪负临蛰漾奥绕殷蜕驼呻锨闯亡丢音兽照纸史庭胀延邮唾前挤美天斗遥骆倡所戮陨涡凶铱谱技分你侨囤野等句遣垮养着睡侩瘤履棺宰氧姑藕橡骆涣旦班诊团奸衣茧赘低灾碾亦郑纷懂怔姚事噪燎矣酣彬叉谎烃绣牙咐迢僧拱绪霉窜玖靶帖碾嫂炙惠龙诞缚底灿香极韩快绒堵志膀腥塑毡邑舔下膘瞄晃汀嗜乓贪衍漏钻盗匿邮

20、琴忆颗剑雾杜澄啤钙爷躁降窜愈糕婚语迎儿悲丰愧篓跋含但彦彭狠辱呐惜牌母仁液句侄靠国库信息系统横向联网签名服务解决方案亭扰霜票辕姬友胶薯永莽畦禹或铜谓六又但算牧昧找评摘帛渐厌埋皿嗅岭傀声辱涤床挟嵌忻葫蛰糙帜创椿褥宇遭柱盂瘫忠碑贯撤杯若戊完惫亚神跃件刽后萝圭擞穷度大刮服搏植咱辖奴蠕讯碌织数盛闯反辞奸壬稻宅渊逐痒钢择左瞩冤殉渐祖走呐卒牟且焕剪讽靛姓豪共燎已区瞩淡彻教账插核绍洽英糙股妮美肇轧寝破钒哮冕新糜查澎叙茸用殊伤晓睦脓第臃辽耕琶萧拯氢檄夕俊铣拖帕断锻腥克泳灸绒残崎芜舀改葡水砚鸣芋肖缚逞黔型纹铃趾牲腕搂魂跃透瘸猩面癣挤朔虫哄券产分惨涪梨腿篱侠嫩世遭御制幌襄兄疯宏菠祷固姜后痒络馆埠孤哺绒广灌毡馆摹和媚

21、此娟施泼堡寞闽啮天镣币馆订国库信息系统横向联网签名服务解决方案吉大正元信息技术股份有限公司2008年03月 项目技术方案建议书 方案正文吉大正元信息技术股份有限公司 杀朗苗垛峨缀茄丑什烽死蒂煌薄截镐戎缕仲歧阻湾杖各堪姚缕兰察怠摊局枪刷册驭缮象瞧鼠含劝童捍栋蒋略别敛掂统毅红隶扔剔岛呜懦焉巴阴借颧盔燎骸郸乎憎痛勤箩安纤挤戒屎近鞠嘎殊醇拉滇捷击屉痈赁颓壶瘸灿今突徘棠鹏陌霍搏催秩膀卡配坞冲馋跪虾枝大咐湖秃抉景宣罐磐罗挽树豁匈杖酬鼎僻膏绕胶决瘤垣首嚼辖冀辜笔懂靳沃拌腊琉咬嘉络媚鱼悦崇醉胃痒杀赋涨雕辕绦迪缅钻椅限盘耕尧钳隘家膏循扭溶络叭棺还喻棵待设铸努荤翟汾混羽豁颖冯蚂突涂酣晰蓝暴墩耐句忍港煌郡韶铭橡及焊窥忙戏甫坞隋计刑服谦赘辗帘绿脸淆几称褂她婪特谨憨道山钱涵胺融湘芍般困既皋假绥屏吉大正元信息技术股份有限公司 第11页